Comtarsia

SignOn Agent for Linux 2003

 

Handbuch

 

 

05. Dezember 2003

 

Version 2003 – Build 1.1.5.11

 

 

 


Inhaltsverzeichnis

1.         SyncAgent fuer Linux. 3

1.1    Einführung. 3

1.2    Systemanforderungen. 4

1.3    Installation des SyncAgent 4

1.4    Starten und Stoppen des SyncAgent 4

1.5    Deinstallation des SyncAgent 5

1.6    Konfiguration – Parameterbeschreibung. 5

2.         RSA Verschlüsselung. 10

2.1    Allgemein. 10

 

 

 


 

 

1.  SyncAgent fuer Linux

 

1.1         Einführung

 

Der SyncAgent fuer Linux ist ein Produkt aus der Servolution Sync Packet Familie.

Der SyncAgent besteht aus zwei Modulen: dem System-Modul und dem Samba-Modul.

Dieses Modul ist fuer die Linux System-Benuterkonten zuständig.

Die Funktionen im Detail:

 

Dieses Modul ist für die Samba-Benutzerkonten zuständig.

Die Funktionen im Detail:

o        Erzeugen von neuen Benutzer-Einträgen im Samba

o        Synchronisation des Benutzer-Paßwortes

 

Der SyncAgent fuer Linux bietet umfangreiche Konfigurationsmöglichkeiten, wodurch sich die einzelnen Arbeitsschritte des Agents genau auf die jeweiligen Anforderungen abstimmen lassen.

 

Die Synchronisation der Linux System-Benutzerkonten kann fuer Terminal-Benutzer verwendet werden, die direkt auf dem jeweiligem System arbeiten (z.B. über Telnet oder SSH) und auch für Benutzer, die mit speziellen Applikationen auf dem Linux-System arbeiten, welche System-Benutzerkonten verwenden (z.B. POP/IMAP-Server, Webserver).

 

 

 

Der Servolution SyacAgent ist neben der Linux-Version auch noch für viele weitere Plattformen sowie Applikationen erhältlich. Weitere Informationen hierzu finden Sie auf der Servolution-Webseite unter http://servolution.comtarsia.com/

 

 


 

 

 

1.2         Systemanforderungen

 

Die Systemanforderung für die Installation des Sync Agent Daemons:

·         SUSE Linux Version 8.1 / SCO Linux Server Release 4.0

·         RedHat Linux 8.0 (In Kuerze erhaeltlich)

 

Bitte beachten Sie, daß sich die verschiedenen Linux-Distributionen in den mitgelieferten Programm-Bibliotheken zum Teill stark unterscheiden und es deshalb erforderlich ist, die jeweilige SyncAgent für Linux Version zu verwenden, die genau für Ihre Distribution zusammengestellt wurde.

 

Anforderungen für den Betrieb des SyncAgent für Linux:

·         Protokoll  TCP/IP mit einer statischen IP-Konfiguration.

 

1.3         Installation des SyncAgent

 

Extrahieren Sie die Datei sa_linux_X.X.X.tar.gz in einem eigenen Verzeichnis mit dem Befehl:

„tar zxvf sa_linux_1.0.1.tar.gz“. Wechseln Sie daraufhin in das Verzeichnis sa_linux und führen Sie das Installationsprogramm mit dem Befehl „./sainstall“ aus. Zur Installation des SyncAgent werden „root“-Berechtigungen benötigt.

 

Während des Installationsvorganges wird das Programmverzeichnis des SyncAgents sowie die IP-Adresse des SyncProxy-Servers abgefragt.

 

Der SyncAgent wird so installiert, daß er sich bei einem Neustart des Linux-Systems automatisch startet. Dieses Verhalten könne Sie bei Bedarf durch Veränderung der Runlevel-Links an Ihre Erfordernisse anpassen.

 

1.4         Starten und Stoppen des SyncAgent

 

Der Starten sowie Stoppen  des SyncAgent erfolgt über das Skript „/etc/syncagent/syncagentctl“.

 

Zum Starten führen Sie den folgenden Befehl als „root“ aus:

„/etc/syncagent/syncagentctl start“

 

Das Stoppen erfolgt analog zum Starten:

„/etc/syncagent/syncagentctl stop“

 

Wenn Sie Konfigurationsänderungen durchführen, während der SyncAgent aktiv ist, müssen Sie den Agent beenden und neu starten, um die Konfigurationsänderungen zu aktivieren:

„/etc/syncagent/syncagentctl restart“

 

1.5         Deinstallation des SyncAgent

 

Die Deinstallation des SyncAgent für Linux muß manuell erfolgen.

Löschen Sie die folgenden Dateien/Verzeichnisse:

/etc/syncagent

Das Syncagent bin-Verzeichnis z.B.: /usr/local/syncagent

Die Soft-Links in den Runlevel-Verzeichnisse (/etc/init.d/, /etc/init.d/rc3.d, /etc/init.d/rc5.d)

 

1.6         Konfiguration – Parameterbeschreibung

 

Die SyncAgent fuer Linux Konfigurationsdatei befindet sich unter /etc/syncagent/syncagent.conf.

 

Nachfolgend findet sich die Standard-Konfigurationsdatei mit deutscher Parameterbeschreibung:

 


#####################################################

# syncagent.conf

# /etc/syncagent/syncagent.conf is the configuration file for the

# Servolution syncagent daemon

# Copyright (c) 2003 Comtarsia It Services GmbH

#

####################################################

 

# Konfigurationseinstellungen für das CORE-Modul

#

[SA_CORE]

 

# Definiert, ob die Verbindung mit dem SyncProxy verschlüsselt wird. Dieser Wert
# muß immer auf “1” gesetzt sein.

# Default: 1

cryptMessage=1

 

# Das Installationsverzeichnis für den SyncAgent-Daemon

# Default: /usr/sbin/syncagent

workingDirectory=/usr/sbin/syncagent

 

# Die verwendete Portadresse des SyncAgents. Wenn dieser Parameter geändert
# wird muß sichergestellt sein, dass die gewählte Port-Adresse von keinem anderen
# Dienst verwendet wird. Dieser Wert muß mit der Einstellung am SyncProxy
# korrelieren.

# Default: 2000

listenerPort=2000

 

# Definiert die Portadresse für das Überwachungsinterface des SyncAgents. Wenn
# dieser Parameter geändert wird muß sichergestellt sein, dass die gewählte Port-
# Adresse von keinem anderen Dienst verwendet wird.

# In der aktuellen Version wird dies noch nicht unterstützt.

# Default: 3000

maintenancePort=3000

 

# Dieser Wert legt das Empfangs-Timeout fuer die Proxy-Kommunikation fest.

# Wird dieser Wert überschritten, schließt der Sync Agent die TCP/IP-Verbindung
# und es erscheint die Meldung „receive error“ im Logfile.

# Default: 4

rcvTimeout=4

 

 

# Konfigurationseinstellungen fuer das LOG-Modul

#

[SA_LOG]

 

# Dieser Parameter definiert, ob Logmeldungen geschrieben warden, auch wenn
# keine Überwachungsverbindung aktiv ist. Dieser Wert muß auf „1“ gesetzt sein,
# wenn ein Logfile geschrieben werden soll.

# Unter welchen Bedingungen wird ein Logfile geschrieben:

# 1) logToFile=1 und es ist eine Überwachungsverbindung aktiv und der
# Überwachungsbefehl “log start” wurde ausgeführt

# 2) logAlways=1 und logToFile=1

# Default: 1

logAlways=1

 

# Dieser Parameter legt den Namen des Logfiles fest. Die Angabe muß inklusive
# dem vollen Pfad erfolgen.

# Default: /var/log/ComtSyncAgent.log

logFileName = /var/log/ComtSyncAgent.log

 

# Hier wird der gewünschte LogLevel gewählt. Dieser Parameter sollte zumindest
# auf „1“ gesetzt sein, um eventuelle Fehlermeldungen zu erhalten. Für eine
# detailliertere Analyse kann der Wert auf „3“ gesetzt werden. Achtung: Beim einem
# LogLevel > 1 kann das Logfile schnell sehr groß werden.

# 0 kein Logging

# 1 nur Fehlermeldungen

# 2 Fehlermeldungen und Warnungen

# 3 detailierte Ausgaben

# Default: 1

logLevel=1

 

# Gibt an, ob die Logausgaben ins Logfile geschrieben werden

# Nähere Informationen finden sich unter logAlways

# Default: 1

logToFile=1

 

# Die maximale Logfile- Größe in Bytes. Wenn die hier spezifizierte Größe erreicht
# ist, wird die Datei kopiert (Benennung des Logfiles:

# <logFileName>_JAHR_MONAT_TAG_STUNDE_MINUTE_SEKUNDE). Wenn weniger
# als 50 MegaByte Speicher auf dem Dateisystem verfügbar sind, wird das älteste
# Logfile gelöscht.

# Default: 102400

maxLogFileSize=1024000

 

 

# Konfigurationseinstellungen für das SYSTEM-Modul

#

[SA_SYSTEM]

 

# Diese Option aktiviert die Systemuser-Synchronisation.

# Wenn diese Aktion fehlschlägt, werden alle weiteren Sync-Module nicht mehr
# ausgeführt. Dieses Modul ist verantwortlich für die System-Authentifizierung,
# das anlegen eines Benutzers sowie der Paßwort und Gruppen Synchronisation.

# Dieses Modul muß immer aktiviert sein.

# Default: 1

syncEnabled=1

 

# Mit diesem Bitmaske können die einzelnen Synchronisations-Aktionen aktiviert
# sowie deaktiviert werden. Wenn eine Aktion fehlschlägt, werden alle anderen
# Aktionen nicht mehr ausgeführt.

# 0x1 Passwortüberprüfung (muß immer gesetzt sein)

# 0x2 Anlegen des Benutzers (muß immer gesetzt sein)

# 0x4 Aktualisieren der Benutzer-Gruppen

# Default = 7 (alle Bits gesetzt)

syncPolicy=7

 

# Ist diese Option aktiviert, wird für neue Benutzer automatisch ein
# Benutzerverzeichnis angelegt.

# Default: 1

createHomeDir=1

 

# Ist diese Option aktiviert, wird das Benutzerverzeichnis eines neuen Benutzers mit
# der unter „homeDirPermissionMask“ eingestellten Maske erzeugt.

# Default: 1

changeHomeDirPermission=1

 

# Die Berechtigungs-Maske für das Benutzerverzeichnis

# Default: 0700

homeDirPermissionMask=0700

 

# Gruppen-Abbildung (1 = Gruppen-Abbildung ist aktiviert).

# Wenn die Gruppen-Abbildung nicht aktiviert ist warden die Gruppen des Clients
# verwendet um die entsprechende UNIX Gruppen-Mitgliedschaft des Benutzers zu
# setzten.

# Wenn die Gruppen-Abbildung aktiviert ist, werden die unter SA_GROUPMAPPING
# definierten Regeln fuer die Gruppen-Zuordnung benutzt.

# Default: 0 (Gruppen-Abblidung ist deaktiviert)

disableEqualGroupMapping=0

 

# Ausnahmen für die Gruppenliste

# Die folgenden Gruppen werden dem Benutzer auf keinen Fall unter UNIX
# zugeordnet. Mehrere Gruppen können mit einem Beistrich separiert angegeben
# werden.

# Example: root, audio

exceptGroups=root

 

# Die kleinste gültige Gruppen-ID für einen Benutzer.

# Sollten vom Logon Client Gruppen mitgeschickt werden, die eine kleiner GID als
# die hier spezifizierte haben, werden diese dem UNIX-Benutzer nicht zugeordnet.

# Default: 30

minGid=30

 

 

# Konfigurationseinstellungen für das Samba-Modul

#

[SA_SAMBA]

 

# Aktivieren der Samba-Synchronisation

# Das Samba–Modul ist für die Authentifizierung, das Anlegen neuer Benutzer sowie
# für die Passwort-Synchronisation zuständig.

# Das Samba-Modul wird nur ausgeführt, wenn das System-Modul fehlerfrei
# abgearbeitet wurde.

# Default: 1

syncEnabled=1

 

 

# Liste gültiger SyncProxy Server

# Eine Liste mit IP-Adressen von SyncProxy-Servern, von welchen
# Synchronisierungs-Anforderungen akzeptiert werden sollen. Anforderungen von
# anderen IP-Adressen werden abgewiesen und es wird ein Eintrag im Logfile
# erstellt.

# Es werden maximal 10 IP-Adressen unterstützt.

[SA_ACCEPTLIST]

 

PROXY1=192.168.2.209

 

#PROXY2=192.168.2.206

 

 

# Gruppen-Abbildungsliste

# Diese Liste beschreibt Übersetzungen für die Gruppen-Einträge.

# Auf der linken Seite befinden sich die Gruppen, die vom Logon Client an den Sync # Agent geschickt werden. Rechts befinden sich die UNIX Gruppen, dessen Mitglied
# der Benutzer werden soll, wenn er sich in der primären Benutzerverwaltung in
# der linken Gruppe befindet.

# Für eine Quell-Gruppe können durch Komma separiert mehrere Ziel-Gruppen
# angegeben werden. Quell-Gruppen des Windows-Benutzers, die hier in der Liste
# nicht aufscheinen, werden verworfen.

# Syntax: "USERLIST GROUP" = "SUPPLEMENTARY GROUP1" [ , "SUPPLEMENTARY
# GROUP2"...]

# Er werden maximal 32 Einträge unterstützt.

# Beispiel: OS2GRP1=linuxgrp1, linuxgrp2

[SA_GROUPMAPPING]         


2.   RSA Verschlüsselung

 

2.1         Allgemein

 

Die Informationen, welche vom SyncClient bzw. von der SyncProxy zu den Sync Agents übertragen werden, werden RSA verschlüsselt.

 

In der Testversion des SyncAgent für Linux wird ein interner 512 Bit RSA Key verwendet.

Eine lizensierte Version des SyncAgent bietet die Möglichkeit selbst generierte RSA Keys mit einer Länge bis zu 2048 Bit zu verwenden.

 

Achtung: Der interne RSA-Key eignet sich nur für einen Testbetrieb und darf aus Sicherheitsgründen KEINESFALLS in Produktion verwendet werden.